Plaso 1.4.0 ベースの Log2timeline ですが、Windows 7 環境上で実行すると、ファイルのタイムスタンプ情報が数秒ズレるという事象に悩んでいます。

具体的にはWindows 7 64bit環境で 32bit版の Plaso 1.4 を使い、filestat パーサでタイムスタンを作成した場合、該当ファイルやフォルダが持っているタイムスタンプから数秒ズレた値が結果として出力されます。（64bit版はなぜか手元でエラーになった為検証は未実施）

しかし、Windows 10環境上で同じく Plaso 1.4 ベースで filestat パーサを利用しても時刻ズレは発生しません。

log2timeline.exe --parsers filestat c:\case\filesta.db c:\Temp\example

psort.exe -z Japan -w c:\case\filestat.csv -o L2tcsv c:\case\filesta.db

 実行環境のOSによる差異が起きる原因が不明ですが、Windows 10環境上では問題が再現しないという事は確認できました。

ファイルシステムのタイムラインを作成する場合、Plaso の filestat では削除ファイルが含まれない、$FILE_NAME 属性のタイムスタンプが含まれない、という点もあり fls ベースでタイムラインを生成する方がメリットがある場合もあります。

速度的にも fls ベースでタイムラインを作成した方が早いという点がありますね。

flsで作成した body ファイルを Plaso の mactime パーサで処理するという案もありますが、日本語ファイル名が含まれる場合は文字化けが発生しますので、この点はやや課題でしょうか。